Ein weiterer Mythos im Zusammenhang mit der DSGVO ist, dass du keine Cloud-Services mehr benutzen darfst.
Worauf du dabei achten musst und was ein Auftragsverarbeitervertrag ist, besprechen wir im folgenden Artikel.
Ich möchte festhalten, dass ich auf eine juristisch korrekte Ausdrucksweise zugunsten der Verständlichkeit verzichte.
Wenn du Fragen hast, melde dich gerne bei mir!
Was ist denn bitte ein Auftragsverarbeiter?
Ein Auftragsverarbeiter ist jemand, der deine Daten (damit meine ich die Daten deiner Kunden & Geschäftspartner) mit dir oder für dich verarbeitet.
In der heutigen Zeit wird es kaum noch ein Unternehmen geben, das in diesem Punkt völlig autark ist.
Zumindest die Webseite und der Mailaccount werden über einen Hosting-Provider laufen, möglicherweise sogar einige Software-Pakete (Stichwort: Office365) und wahrscheinlich ist auch noch ein Cloud-Anbieter mit an Bord.
Wenn du dir schon Gedanken über dein Verarbeitungsverzeichnis gemacht hast (siehe DSGVO Tipp #4), dann hast du alle deine Auftragsverarbeiter bereits identifiziert.
Worauf du achten musst
Die DSGVO verlangt NICHT von dir, dass du alle Cloud-Dienste abmeldest.
Im Gegenteil:
Gerade bei sehr kleinen Firmen kann es sein, dass über die Verwendung von Cloud-Services ein sehr hohes Sicherheits-Niveau ins Unternehmen Einzug hält, den das Kleinunternehmen selbst niemals herstellen könnte.
Damit du die Cloud-Services weiterhin nutzen kannst, sind folgende Dinge von Vorteil:
- Versichere dich, dass der Anbieter vertrauenswürdig ist. Dazu reicht zunächst mal ein seriöses Auftreten und keine Negativschlagzeilen.
- Schließe einen Vertrag ab.
Die Inhalte eines solchen Vertrages bzw. ein Muster, kannst du dir wieder bei der Wirtschaftskammer holen. - Seien wir realistisch: Google & Co werden keine Freude haben, wenn du ihnen einen solchen Vertrag zuschickst 😉
Meistens wird es umgekehrt sogar so sein, dass du als Kunde ohnehin ein diesbzgl. Mail bekommst nach dem Motto „Wir haben jetzt die DSGVO umgesetzt“.
Im Fall der „großen“ Anbieter reicht es, wenn du dir die offiziellen Datenschutzbestimmungen und/oder Nutzungsbedingungen von deren Webseite herunterlädst und diese bei deinen DSGVO-Unterlagen speicherst. - Wenn in diesen Datenschutzbestimmungen explizit auf den Artikel 28 der DSGVO Bezug genommen wird: Perfekt!
- Überprüfe, ob die Server in Europa stehen. Wenn das der Fall ist, ist alles paletti. Wenn nicht, musst du das in deinem Verzeichnis anführen.
Ein paar Ideen, mit wem du einen Vertrag abschließen solltest
Hier ein paar Anregungen, mit welchen Geschäftspartnern du einen Vertrag abschließen solltest:
- Cloud-Services
- Hosting-Anbieter
- Logistikdienstleister
- Online Zahlungsplattformen
- Unternehmen, die du mit der Vernichtung deiner Daten beauftragst
Das wird sogar das bei dir beschäftigte Reinigungsunternehmen betreffen!
Lege diese Verträge (elektronisch) bei deinen DSGVO-Dokumenten ab.
Verweise im Idealfall im Verarbeitungsverzeichnis auf diese Verträge und deren Speicherort.
Mit wem du definitiv KEINEN Vertrag brauchst:
- Mit Steuerberatern und Wirtschaftsprüfern musst du keinen Vertrag abschließen! Diese zählen nicht als Auftragsdatenverarbeiter.
- Wenn dein EDV-Dienstleister von Zeit zu Zeit bei dir vorbeikommt, um ein Update einer Software einzuspielen, die bei dir im Unternehmen läuft, dann brauchst du dafür auch keinen Vertrag.
Anders formuliert: REINE Wartungsverträge benötigen keinen Vertrag, weil dadurch keine Daten verarbeitet werden.
Was ist mit Gratis-Diensten?
Sämtliche Gratis-Anbieter sind im unternehmerischen Kontext mit Vorsicht zu genießen.
Du kannst davon ausgehen: Wenn ein Dienst gratis ist, dann bist DU das Produkt!
Ich empfehle dir also explizit, auf folgende Dienste im betrieblichen Gebrauch zu verzichten:
- Dropbox (außer du verschlüsselst die dort abgelegten Daten)
- iCloud: Ja, das hat auch mich überrascht…eine ausführliche Begründung dazu findest du beim Datenschutz-Guru unter folgendem Link:
https://www.datenschutz-guru.de/warum-apples-icloud-fur-unternehmen-derzeit-ein-problem-sein-kann/ - WhatsApp (weil es auf alle deine Kontakte zugreift, nicht nur auf jene, die WhatsApp benutzen)
- Facebook (wobei der reine Betrieb einer Unternehmensseite zum Zwecke der Information unproblematisch ist; was du nicht machen solltest, ist via Facebook Daten sammeln!)
Wenn du nichts verpassen willst, abonniere meinen DSGVO-Newsletter:
Wenn du keine Lust auf die Formulierung des Verarbeitungsverzeichnisses hast, hab ich was für dich:
Basierend auf meinem eigenen Verarbeitungsverzeichnis, habe ich eine vorausgefüllte Vorlage für kleine Unternehmen erstellt.
Du kannst sie bei Digistore24.com gegen ein kleines Entgelt erwerben. Sie wird dir ca. 5-10 Stunden Arbeit ersparen…freu dich!
Die Vorlage kannst du 1:1 übernehmen, wenn du
- keine sensiblen (z.B. gesundheitsbezogenen) Daten speicherst
- keine Mitarbeiter hast (ansonsten müsstest du nur einen Absatz noch hinzufügen)
- keine Angebote an Kinder richtest
- kein Profiling betreibst (als Haupt-Unternehmenszweck)
- keine Videoüberwachung betreibst
Durch Klick auf das Bild kommst du direkt zu Digistore24.com
Moin,
das mit dem Steuerberater ist mir jetzt unklar. Woher stammt die Information, das ich da keine AV benötige. Immerhin kann er dauerhaft auf meine Daten zugreifen.
Gruß
Wolfram
P.S. Eine Funktion um Kommentaren zu folgen wäre sehr hilfreich!
Hallo Wolfram,
ich bin keine Juristin und kann dir daher jetzt keinen hieb- und stichfesten Link als Antwort bieten.
Allerdings wurden wir in der DSGVO-Ausbildung explizit darauf hingewiesen, dass Steuerberater und Wirtschaftsprüfer eigene Verantwortliche sind.
Natürlich hast du Recht, dass das irgendwie unlogisch ist. Aber auch Finanzämter und Banken werden nicht als Auftragsverarbeiter gewertet.
Daher sind alle diese genannten einfach „nur“ Daten-Empfänger und als solche in deinem Verarbeitungsverzeichnis anzuführen.
Im Zweifel: Frag deinen Steuerberater!
Liebe Grüße
Astrid